読者です 読者をやめる 読者になる 読者になる

あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Appleを騙るフィッシングサイト(2017/3/6)

Phishing

記事のまとめ

  • 少しでも不思議に感じるドメインに出くわした際には、無闇にアクセスするのを止めましょう。

目次

確認したフィッシングサイト

2017/3/5 19:00時点: 39件
2017/3/6 2:00過ぎ : 35件
2017/3/8 2:00(JST): 14件

フィッシングサイトとして確認した時点で、然るべき方法にて報告済みです。

報告後とは言え、2日間で半分近くの稼働が停止していました。
停止措置が入ったのか、稼働を意図的に停止したのかは定かではありません。

3月8日時点でも、稼働中のフィッシングサイトがあるため、フィッシングサイトへの措置をオススメします。

URL IPアドレス(2017/3/6時点) IPアドレス(3/8時点)
lcloud-findmylostidevice[dot]review 31.220.2.200 31.220.2.200
map-findmylostdevice[dot]review/find 31.220.2.200 -
appleservice[dot]cloud 62.138.139.12 -
verify-secureicloud[dot]online - -
appleid-apple-icloud-support[dot]com 51.15.36.223 51.15.36.223
secure1-itunes-apples-account[dot]com 51.15.131.172 -
www.icloudsd[dot]com 210.209.72.34 210.209.72.34
icloud18[dot]com/login.php 31.31.196.101 -
icloudam[dot]com/login.php 31.31.196.109 31.31.196.109
icloud-lphone[dot]com/lcloud 217.23.5.72 -
icloud-servicepay[dot]com/apple-itunes 51.15.138.119 -
icloud-dispositivos[dot]com 166.62.28.97 -
account-signin-myapple[dot]com 108.167.176.74 108.167.176.74
apple-login-verification-accounts[dot]com 142.4.14.108 142.4.14.108
applesverificationaccount-updates[dot]com 54.169.247.90 -
apple-store-informations[dot]com 212.47.230.108 -
apple-store-custom[dot]com 212.47.230.108 -
vervyapple-update[dot]com/w 80.241.223.225 80.241.223.225
login-appsapple[dot]com 142.4.14.108 -
applevalidation[dot]com 212.47.236.144 -
www.sotre-apple[dot]com 198.55.123.143 198.55.123.143
noted-apple[dot]com 192.185.128.118 192.185.128.118
delicius-cc-limited[dot]com 70.32.89.127 -
locaked-login-update[dot]com/folder/w 80.241.223.225 -
idcloud-unverified[dot]com 176.119.28.116 176.119.28.116
com-primary-acc-access-locked[dot]com/www-appie-service - -
com-unlockaccouns[dot]com/www-appleid.com-login 207.210.201.111 207.210.201.111
webpage-secure-signin[dot]com/appleid.apple.com 207.210.201.111 -
com-acunt[dot]company/ 51.15.36.223 51.15.36.223
please-completions-in-to-updatetheaccount-is-activated[dot]com/ediet/apple 80.241.223.225 -
com-apple[dot]net 51.15.36.223 51.15.36.223
com-restore[dot]net/appleid.apple 212.47.236.144 -
com-validation[dot]net/appleid.apple 212.47.236.144 -
support-acc[dot]net 149.56.129.2 -
recovery-webapps[dot]com/App-cloudstore 207.210.201.111 207.210.201.111
com-update[dot]org/appleid.apple 212.47.236.144 -
internet-protection[dot]net/secure2.login-apple.com - -
ltuness-payment[dot]com/Nuno - -
your-accounthasbeen-locked[dot]com 50.116.97.178 -

※ドメインの一部を、「.」を「[dot]」に置換しています。

フィッシングサイトの傾向

  • スクリプトタグで、本物のサイトのように見せる挙動が確認できました
  • 本物のサービス名(icloud)に酷似したドメイン(lcloud)として誘導する傾向がありました
  • 一定期間のみ稼働しているフィッシングサイトが多い傾向にありました
  • 時間が経過することによって、IPアドレスが変化するフィッシングサイトは確認されませんでした

※一時的な期間のみ観測したため、傾向に偏りがあります。

フィッシングサイトへの対策手段(企業・団体)

対応レベル 対応手段
強めの対応 ドメインやIPアドレスのブロック措置+数日のログ調査
弱めの対応 ドメインやIPアドレスへの通信を監視

フィッシングサイトを踏んでしまったと感じたら(個人)

  • 該当サービスに関するアカウントのパスワードを変更しましょう
  • 同様の事象が発生した際に、注意するようにしましょう